ใกล้สิ้นปีอีกครั้งแล้วครับ ปีที่แล้วผมได้เขียน 7 เทคโนโลยีในการักษาความปลอดภัยข้อมูลระบบสารสนเทศไว้ ได้ลงหนังสือ Micro computer และได้เสนอใน SRAN Community ไว้ ตลอดจน Blog ของตนเอง หลายๆอย่างที่เขียนก็ตรงกับความต้องการในปี 2006 อยู่บ้าง ในปีนี้ก็เลยอยากที่จะลองเขียนอีก สามารถอ่านได้ที่ http://nontawattalk.blogspot.com/2005/12/2006.html
มีคนเขาบอกว่า “เราไม่สามารถรู้อนาคตได้ หากรู้ได้เราจะป้องกันไม่ให้เกิดเหตุการณ์ความสูญเสียที่เกิดขึ้น
และเราก็ไม่สามารถย้อนเวลาได้ หากเราทำได้ เราจะปรับปรุงแก้ไขความผิดพลาดที่เกิดขึ้น กับเหตุการณ์ที่เราไม่พึ่งให้เกิด กับชีวิตเราและคนอื่น”
แต่เราสามารถทำนายอนาคต และคาดคะเนเหตุการณ์ได้ เรียนรู้และยอมรับ เพื่อการป้องกันในอนาคต Live and Learn และผมได้ทำนาย เรื่อง IT Security ในปี 2007 ไว้ จะเป็นเช่นไรลองอ่านกันดูครับ
1. เรื่องเกี่ยวการควบคุม Social Networking
Social Networking ที่เกิดจาก Web 2.0 ที่ให้ทุกคนมีส่วนรวมกับการสร้างสรรค์ การแสดงความคิดเห็น และการเกิดศัพท์ที่เรียกว่า “Freedom Content” บนสังคม Online
จากรูปที่ 1 บอกถึงการเปลี่ยนแปลงแนวทางการสร้าง Content บน Website จนเกิดเป็น Social Networking การที่สามารถทราบถึงข้อมูลข่าวสารได้อย่างรวดเร็ว พูดง่ายๆ ว่าจะเป็นยุคของ ข่าวสารที่รู้ทันกันหมด ไม่ว่าเป็นเรื่องเทคโนโลยีใหม่ ข่าวสาร ข้อมูลส่วนตัว ราคาสินค้า หรือ การซุบซิบดารา Clip video ลับเปิดเผยได้ง่ายขึ้น เพราะนี้คือ Freedom Content เป็นสื่อเสรีที่ยากในการปิดกั้น ในส่วนของ Social Networking จึงทำให้คนเข้าถึงโลกของข้อมูลได้ง่าย และสร้างวัฒธรรม สร้างชุมชน online ที่ทันเหตุการณ์ สื่อเทคโนโลยี ที่เด่นและถือว่าเป็น Social Networking ได้แก่ wikipedia คือการปฏิรูปสารนุกรมฉบับเปิดเผยที่ทุกคนมีส่วนร่วมในการใส่เนื้อหา Youtube สังคม clip video ที่เผยแพร่ภาพเคลื่อนไหวทั่วมุมโลก จัดทำจนได้ดี เมื่อปลายปีมีการ Take over จาก Google ด้วยจำนวนเงินมหาศาล , digg สมุดบันทึก online ที่ได้เผยแพร่ website ของเราให้คนอื่นได้รับทราบมากขึ้น , Flickr ก็ถือว่าเป็น Social Networking ที่อยู่ในรูป Web 2.0 ที่ให้ทุกคนที่สมัครเป็นสมาชิกได้เผยแพร่ภาพถ่ายต่างๆ หรือนำเอาเทคโนโลยีเสียงมาใช้บนอินเตอร์เน็ท ที่เรียกว่า Podcast เช่น Odeo อัดเสียงพูด เสียงสนทนา รวมถึงบาง web ได้นำมา Podcast มาใช้ในการสัมภาษณ์บุคคลสำคัญก็มี รวมถึง ระบบ RSS ที่สามารถ Feed รับข่าวสารข้อมูลจาก website อื่นๆได้ผ่านเทคโนโลยี XML , รวมไปถึงการแชร์ files ยอดนิยมชนิด P2P (Peer-to-Peer) ที่พบว่าไม่ว่าจะเป็นเพลง หนัง หรือเอกสาร ที่หายากก็สามารถค้นหาเจอจากการใช้งาน P2P หรือจะเป็น Social Networking ชนิด Video Conference / Chat Video เหมือนกับโปรแกรม Camfrog ที่โด่งดังในช่วงท้ายปี เราก็สามารถแลกเปลี่ยนความรู้ และสร้างสังคมเสมือนเกิดขึ้นได้ผ่านอินเตอร์เน็ท ในปี 2007 จะมี Video Conference ที่เป็น Social Networking ผ่าน Web 2.0 มากขึ้น อาจจะเป็นการทำ E-Learning การประชุมผ่านอินเตอร์เน็ท เช่นพวก Web casting ก็จะทำให้มีความสะดวกในการติดต่อสื่อสารกันมากขึ้น จึงทำให้โลกอนาคต ข้อมูลจะรู้ทันกันไปหมด อินเตอร์เน็ทจะกลายเป็นสถาบันการศึกษาขนาดใหญ่ที่เป็นสังคมเสมือน ที่สามารถศึกษาหาข้อมูลเองได้ และอาจมีความรู้มากกว่าห้องเรียนจริง แต่ทั้งนี้แล้วต้องใช้วิจารณญาณในการรับรู้ด้วยเช่นกัน
อาจจะมองว่า Social Networking ทำเพียง Back-end ระบบข้างหลังภาพ ส่วน Font end ที่เป็นเนื้อหา web site นั้นเกิดจากคนอื่นๆ ที่ร่วมกันสร้างจนเกิดเป็น Web ที่มีชีวิตชีวาขึ้นมา ในโลก IT Security Website ในปี 2006 ก็หันมาใช้แนวคิด Social Networking มาช่วย ไม่ว่าเป็นการ หาอาสาสมัครเพื่อ ตรวจ spam mail , ข้อมูลที่เป็น Phishing หรือ website ที่มีความเสี่ยง ได้แก่ SiteAdvisor , SpamCop , Phishtank , ProjectHoneypots รวมถึง VMware เปิดโอกาสให้คนอื่นได้สร้าง virtual machine บนโปรแกรม VMplayer จนเกิดเป็น community Vmware ขึ้น ปรากฎการณ์ที่กล่าวมาเกิดขึ้นแล้วในปี 2006 และในปี 2007 จะมี Web ที่เป็น Social Networking มากขึ้น จนเป็นแฟชั่น
ในเรื่องภัยคุกคามหากมี Social Networking มากขึ้นจะเป็นเช่นไร คำตอบคือการควบคุมสื่อทางอินเตอร์เน็ทจะยากขึ้น เพราะทุกคนมีส่วนร่วมในเนื้อหา Website มีสิทธิ และเสรีภาพในการแสดงความคิดเห็นมากขึ้น หรือที่เรียกว่า Freedom Content เมื่อควบคุมยาก ก็จะมีการแสวงหา ผลประโยชน์จาก Social Networking และ Web 2.0 มากขึ้น เกิด Social Engineering บน Social Networking เกิดการหลอกลวงมากขึ้น จะมี Website ในเชิงหลอกลวงมากขึ้น ไม่ว่าเป็นการหลอกเพื่อได้ถึงข้อมูลส่วนตัว และข้อมูลที่ผิดจุดประสงค์และนำมาซึ่งความเสียหาย ตกอยู่ที่ผู้รู้ไม่ทัน
ภัยอีกข้อหนึ่งที่พึ่งให้สังเกต นั่นคือ ข้อมูลทะลัก หมายถึง ข่าวสารข้อมูลจะรู้ทันกันมากขึ้น แทบจะหลอกใครไม่ได้ แต่นั่นก็คือคนที่จะทันข่าวและทันข้อมูลอย่างสม่ำเสมอ จนเสพข้อมูลเกินความจำเป็น ทั้งข้อมูลที่ผิดความเป็นจริง ข่าวโคมลอย หรืออาจเป็นข้อมูลเท็จ ที่หลงผิดเชื่อเองก็เป็นได้ การที่เป็น Social Networking ที่ดีจึงต้องมีหน่วยงานที่มาควบคุมสื่อ เพื่อแยกแยะเรทในแต่ Website เช่นเดียวกับ หนัง , สถานที่โทรทัศน์ ที่มีเรทในการพิจารณา รวมถึงการควบคุมเรื่องลิขสิทธิ หนัง เพลง ซอฟแวร์ วรรกรรม และอื่นๆ ดังนั้นผมจึงเชื่อว่าในปี 2007 จะมีรัฐบาลหลายๆ ประเทศจัดทำหน่วยงานกลางที่ควบคุม Freedom Content นี้ขึ้น ซึ่งในแต่ละประเทศอาจมีเรทไม่เหมือนกัน ในปลายปี 2006 เราเห็นว่ามีบริษัทเอกชนในต่างประเทศได้ จัดทำแล้วไม่ว่าเป็น SiteAdvisor ของ Mcafee หรือ Scandoo ของ Scansafe เป็นต้นเห็นว่าเป็นแนวโน้มที่อาจจะเกิดขึ้นได้ในการควบคุมสื่ออินเตอร์เน็ทในรูปของ Website ที่เป็น Social Networking
2. เรื่องป้องกันข้อมูลส่วนตัวบนเครือข่ายคอมพิวเตอร์ (Privacy Net)
ภาพการแสดงถึงการเชื่อมต่อ Network Tor
การป้องกันภัยข้อมูลส่วนตัว จะมีบทบาทมากขึ้น จากที่กล่าวไปในข้อ 1 เรื่อง Social Networking ที่รวมถึงการเผยแพร่ข้อมูลแบบ Freedom Content ทำให้โลกอนาคตจะเป็นเรื่องที่รู้ทันกันหมด เพราะอินเตอร์เน็ท เพราะ google เพราะ Youtube และอื่นๆ ไม่แน่ข้อมูลส่วนตัวเรา อาจจะอยู่ในมือใครสักคนในโลกก็ได้ ผมเคยเขียนบทความหนึ่ง ชื่อว่า ความเป็นส่วนตัวบนโลกอินเตอร์เน็ต ที่ไม่เพียงพอ ไว้ในปี 2004 ตอนนั้นเพียงแค่ค้นหาข้อมูลจาก google เราก็แทบจะได้ข้อมูลหลายๆส่วนจากคนที่เราต้องการค้นหาแล้ว และ ปัจจุบัน เรามีระบบ เรามี Web2.0 มี Social Networking ง่ายแก่การเข้าถึงข้อมูล และแก้ไขข้อมูล ปลอมแปลงข้อมูล สารพัดวิธีการ เรามี VoIP ที่โทรศัพท์ผ่านTCP/IP เราใช้ Skype/Jabber/Gtalk/Turenetalk , และอื่นๆ ที่เกี่ยวกับ VoIP ข้อมูลย่อมผ่านเครือข่ายและออกสู่โลกอินเตอร์เน็ต อาจจะมีการทำ ARP Spoof SIP Protocol แบบ Man in the middle Attack แน่นอนเราอาจประสบปัญหาในเรื่องการดักฟัง แอบดักข้อมูล ทางโทรศัพท์มากขึ้น เรามีอุปกรณ์ และเทคโนโลยี ที่นำเข้า และเป็นเทคโนโลยี ที่เราไม่สามารถแก้ไขได้ เราเป็นผู้ใช้ อย่างเดียว ยอมมีความเสี่ยงกับการใช้ข้อมูลส่วนตัวได้แน่ ตลอดปี 2006 ได้มีการทดลองหลาย Project ในการซ่อนตัวในโลกอินเตอร์เน็ท ไม่ว่าเป็นการซ่อนตัวเพื่อเยี่ยมชม Website นั่นคือซ่อน IP จริงจากเครื่องของเรานั่นเอง ที่ต้องทำเช่นนั้นเป็นเพราะในบางประเทศไม่สามารถรับรู้ข้อมูลบางอย่างได้ การที่จะเข้าถึงข้อมูลของ Website ที่โดนแบนจากประเทศ ต้องอาศัยหลักการขอยืมใช้ IP ที่เป็น Proxy จากต่างประเทศ และ IP Proxy ในการเปิดดูเนื้อหา Website ที่โดนแบนจากประเทศนั่นๆ ในปี 2006 จิตนาการหลบหนีการตรวจจับได้ จึงเกิดแนวความคิดสร้าง Onion routing และเกิดเป็น Project Tor ขึ้น หรือที่เรียกว่า online แบบล่องหน (anonymity) ใน Tor เองก็มีหลายคนนำไปต่อยอด ไม่ว่าเป็น Torpark , Vidalia และ ล่าสุดมี Project ที่ชื่อ Psiphon ออกมาช่วงปลายปี 2006 แนวคิดเช่นเดียวกับ Tor และ GNUnet เน้นไปเรื่อง Privacy Network ที่ซ่อน IP จริง และข้อมูลที่รับและส่ง ผ่านระบบจะมีการเข้ารหัสด้วย และเมื่อเราได้เข้าสู่ IPv6 อุปกรณ์พกพาต่างๆ สามารถเชื่อมโยงอินเตอร์เน็ท การกระทำต่างๆ ก็จะมีความซับซ้อนขึ้นด้วย ใครจะรู้ว่าไม่แน่ Web Server เราอาจจะอยู่บนมือถือของเราเองก็ได้ และสร้างเป็น Scam site เปลี่ยน IP ไปเรื่อยๆ หรือเข้าอยู่ในกลุ่ม Network Anonymity ที่หาทางจับตัวได้ยากขึ้น อันนี้ไม่ได้ชี้โผลงนะครับ แต่คิดว่าเราควรหาวิธีการป้องกัน ตัวผมเองเคยเขียนบทความชื่อ Network Identity เมื่อปี 2005 กลางปีมาแล้ว และการทำ SRAN Web identity เพื่อระบุตำแหน่ง Web Server (ยังไม่เสร็จตามจิตนาการที่คิดนัก) ก็ถือว่าเป็นการระบุประวัติการใช้งาน IP บนเครือข่ายคอมพิวเตอร์ได้ ก็จะนำมาประยุกต์เพื่อป้องกันภัยคุกคามที่อาจจะเกิดขึ้น จากเรื่องที่กล่าวมาได้
จึงทำให้ผมมั่นใจว่าในปี 2007 จะเกิดกระแส เรื่อง Privacy Network ขึ้นได้ ที่กล่าวเช่นนั้นเพราะยังเป็นเรื่องใหม่มากสำหรับเมืองไทย และยากในการจัดทำ เพราะต้องอาศัยเครือข่ายคอมพิวเตอร์ ขนาดใหญ่ เพื่อรองรับ Anonymity Network แบบ Grid Computer ได้ แต่อาจเกิดขึ้นเป็นบริการหนึ่งของบริษัทเอกชนได้ เช่นกัน โดยเฉพาะ เป็นบริการเสริมในเรื่อง Management Security Services Provider หรือ MSSP ในการเสริมสร้างความปลอดภัยข้อมูลส่วนตัว หรือส่วนบุคคล ได้แก่บริการ Secure VPN ระหว่าง Site , Network Encryption และ Software Anonymity เพื่อเข้าถึงข้อมูลบนอินเตอร์เน็ทแบบไม่สามารถระบุ IP จริงได้ ตัวตนที่แท้จริงได้ ปัญหาอาจตามคือการสืบหาผู้กระทำผิดในเรื่องอาชญกรรมคอมพิวเตอร์ จะซับซ้อนและต้องการผู้เชี่ยวชาญอย่างแท้จริงในการสืบหาผู้กระทำผิด
3. การจัดทำ Compliance กับเทคโนโลยีรักษาความปลอดภัยข้อมูล
ในปีที่แล้ว ผมก็ได้พูดถึง compliance ซึ่งเป็นข้อสุดท้ายในบทความ 7 เทคโนโลยีการป้องกันภัยข้อมูลในปี 2006 ว่าจะมีบทบาทสำคัญในงาน IT security อ่านได้จาก http://nontawattalk.blogspot.com/2005/12/2006.html ในปีนี้ก็เช่นกัน ระบบเครือข่ายคอมพิวเตอร์ รวมถึงระบบองค์กรที่ต้องก้าวสู่ความปลอดภัยที่เป็นระบบและเป็นระเบียบแล้วต้องมีมาตรฐาน และมี Framework ที่เป็นแบบแผน ที่ต้องจัดระบบ IT Security ให้เป็นระเบียบ นั้นเป็นเพราะ ต้องการขจัดปัญหาเรื่อง Human Error ลองคิดดูสิว่าเมื่อระบบเครือข่ายเจริญเติบโต จนทุกที่ต้อง Online มีระบบต้องปฏิบัติงานตลอด 24 ชั่วโมง มีข้อมูลที่ต้องพร้อมใช้งาน 24 ชั่วโมง เราจะหนีจุดนี้ไม่พ้น ไม่มีธนาคารไหนในโลก ที่ไม่มีระบบ IT ไม่มีหน่วยงานหรือสถาบันใดในโลก ที่ไม่ใช้ IT ในอนาคตต้อง online ทำงาน 24 ชั่วโมง ผ่านระบบเครือข่ายคอมพิวเตอร์ คนปฏิบัติงานก็มีโอกาสที่ ทำงานผิดพลาดได้ สิ่งสำคัญและเป็นองค์ประกอบหลักด้าน IT Security ประกอบด้วย 3 ส่วน คือ เทคโนโลยี กระบวนการ และคน เราสรรหาเทคโนโลยีระบบป้องกันภัยข้อมูลมาใช้ โดยไม่มีคนไม่ได้ และหากเรามีคนเราก็ไม่สามารถทำงานได้อย่างมีประสิทธิภาพ หากไม่มี Framework ที่มีมาตรฐาน ที่มีระบบและระเบียบ จะทำให้คนทำงานได้ตรงตามเป้าหมาย และสุดท้ายคือทำให้องค์กรนั้นปลอดภัยขึ้นได้
ในต่างประเทศมีการออกเป็นกฎหมายแล้ว เพื่อให้ทิศทางในการปฏิบัติงาน ไม่ทำไม่ได้ ได้แก่ หน่วยงานที่เกี่ยวข้องสุขภาพ การให้บริการด้านสุขภาพ โรงพยาบาล สารธารณสุข ต้องมีกฏเกณฑ์ด้าน IT ตรงตาม HIPAA , หน่วยงานที่เกี่ยวข้องกับการเงิน ต้องมีกฎเกณณ์ตาม GLBA , หน่วยงานที่เกี่ยวกับราชการต้องมี กฏเกณฑ์ตรงตาม FISMA เป็นต้น นี้เป็นกฏเกณฑ์ที่ออกโดยต่างประเทศ ณ ปัจจุบันเมืองไทยยังไม่มีการควบคุมตรงนี้นะครับ เราก็เลยต้องอิงตาม ISO17799 เป็นหลัก แต่ ISO17799 ไม่ใช่กฏ ระเบียบ แต่เป็นแนวทางในการปฏิบัติ และตรวจสอบให้เกิดความปลอดภัยด้านข้อมูลสารสนเทศ ไม่ว่าเป็นอุปกรณ์ด้านระบบรักษาความปลอดภัย ก็ดี หรือเทคโนโลยีที่ช่วยเสริมสร้างความปลอดภัย ในปี 2007 และต่อๆไป จะมีการ compliance ให้ตรงตามมาตรฐานดังกล่าว เพื่อสร้างหน่วยงานที่ใช้อุปกรณ์หรือเทคโนโลยีนั้น ได้รับความสะดวกและครอบคลุมมากขึ้น ไม่ว่าเป็น เทคโนโลยีระบบตรวจจับผู้บุกรุก (IDS/IPS) , ระบบ VA (Vulnerability Assessment) / VM (Vulnerabiltity Management) , SIM (Security Information Management) และรวมถึงระบบ NAC (Network Access Control) ที่ช่วงปลายปีได้รับความนิยมมากขึ้น ก็จะต้องจัดทำ Log ที่เกิดขึ้นให้สอดคล้องกับ Compliance ได้
ในส่วน 4 ข้อที่เหลือ ผมขอต่อตอนหน้าแล้วกันครับ
นนทวรรธนะ สาระมาน
Nontawattana Saraman